Microsoft en Nederlandse politie breken internationale malwareketen

De gecoördineerde actie was gericht op de malware-families Amadey en StealC. Hoewel deze kwaadaardige programma's door verschillende cybercriminelen zijn ontwikkeld, bleken ze achter de schermen op exact dezelfde infrastructuur te leunen. In de eerste twee weken van mei alleen al waren beide tools verantwoordelijk voor het besmetten van meer dan 140.000 computers wereldwijd. Amadey wordt doorgaans gebruikt om toegang te krijgen tot systemen, waarna StealC direct daarna gevoelige informatie en wachtwoorden steelt. Samen vormen ze een cruciale schakel in de voorbereiding van ransomware-aanvallen en grootschalige financiële fraude.

AI als cruciale versneller voor rechercheurs

De doorbraak in het onderzoek werd versneld door de inzet van kunstmatige intelligentie, waaronder Microsoft Copilot. Onderzoekers lieten AI de complexe programmacodes van de malware doorspitten. In plaats van handmatig dagenlang code te analyseren, konden rechercheurs in gewone spreektaal vragen stellen aan de AI-assistent. Hierdoor werden verborgen datapatronen en de onderlinge infrastructuurconnecties tussen Amadey en StealC in een kwestie van minuten blootgelegd.

"Het is niet langer genoeg om dreigingen één voor één te bestrijden. We moeten de manier waarop aanvallen worden geassembleerd verstoren", verklaart Steven Masada, Assistant General Counsel van Microsofts Digital Crimes Unit. De AI-inzichten stelden Microsofts juridische team in staat om de wetgeving rondom georganiseerde misdaad (de Amerikaanse RICO-wet) op een innovatieve manier in te zetten. Beide malwarefamilies werden voor de rechter gebracht als onderdeel van één grote criminele samenzwering. Het resultaat: de DCU haalde in één klap meer dan 200 zogeheten command-and-control-servers offline.

De cybercriminele lopende band

De operatie legt de modulaire structuur van de moderne cybermisdaad bloot. "Cybercriminaliteit werkt tegenwoordig als een fabriek", aldus Masada. De actoren achter de verschillende tools hoeven elkaar nooit te ontmoeten; hun software is simpelweg ontworpen om naadloos op elkaar aan te sluiten. Soms wordt die toegang ook doorverkocht aan statelijke actoren. Zo nam Microsoft waar dat de aan Rusland gelieerde hackergroep Secret Blizzard gebruikmaakte van Amadey-infecties om specifieke spionagemalware uit te rollen in Oekraïne.

Sinds de start van de operatie heeft Microsoft meer dan 18.000 besmette computers van slachtoffers geïdentificeerd. De criminele toegang tot deze apparaten is direct afgesneden. Microsoft werkt momenteel nauw samen met telecomproviders over de hele wereld om de getroffen eindgebruikers te informeren en te beschermen.

Internationale coalitie

Het succes van de actie onderstreept het belang van publiek-private samenwerking. Microsoft volgde Amadey al langer in samenwerking met securitybedrijven als ESET en BitSight. Tegelijkertijd deed het European Cybercrime Centre (EC3) van Europol – samen met de Nederlandse Landelijke Politie, de Duitse BKA en de Deense politie – al onderzoek naar StealC onder de vlag van Operation Endgame. Door deze databestanden en expertises samen te voegen, kon de criminele keten effectief worden doorbroken.

De klap moet de cybercriminele economie hard raken. Door de toeleveringsketen van de hackers te verstoren, wordt het voor hen vele malen moeilijker, tijdroverder en kostbaarder om hun netwerken opnieuw op te bouwen. Microsoft zal de verkregen data bovendien direct integreren in zijn geautomatiseerde opsporingsprogramma's om nieuwe, opduikende kwaadaardige domeinen in de toekomst nog sneller te elimineren.